SD-WAN Orchestrator[Cisco ISR] タイプの Non SD-WAN Destination を設定する方法について説明します。

手順

  1. SD-WAN Orchestrator のナビゲーション パネルから、[設定 (Configure)] > [ネットワーク サービス (Network Services)] の順に移動します。
    [サービス (Services)] 画面が表示されます。
  2. [Gateway 経由の Non SD-WAN Destination (Non SD-WAN Destinations via Gateway)] 領域で、[新規] ボタンをクリックします。
    [新しい Gateway 経由の Non SD-WAN Destination (New Non SD-WAN Destinations via Gateway)] ダイアログ ボックスが表示されます。
  3. [名前 (Name)] テキスト ボックスに、Non SD-WAN Destination の名前を入力します。
  4. [タイプ (Type)] ドロップダウン メニューから、[Cisco ISR] を選択します。
  5. プライマリ VPN Gateway の IP アドレスを入力し、[次へ (Next)] をクリックします。
    Cisco ISR タイプの Non SD-WAN Destination が作成され、 Non SD-WAN Destination のダイアログ ボックスが表示されます。
    complementary-config-third-party-site-dialog
  6. Non SD-WAN Destination のプライマリ VPN Gateway のトンネル設定を行うには、[詳細 (Advanced)] ボタンをクリックします。
  7. [プライマリ VPN Gateway (Primary VPN Gateway)] 領域で、次のトンネルを設定できます。
    フィールド 説明
    トンネル モード (Tunnel Mode) アクティブ/ホットスタンバイは、SD-WAN Gateway でサポートされています。アクティブ/ホットスタンバイが自動的に表示されると、アクティブなトンネルがダウンし、スタンバイ(ホットスタンバイ)トンネルが引き継いで Active トンネルになることを示します。
    PSK 事前共有キー (PSK)。これは、トンネル全体の認証のためのセキュリティ キーです。デフォルトで、Orchestrator によって PSK が生成されます。独自の PSK またはパスワードを使用する場合は、テキスト ボックスに入力します。
    暗号化 (Encryption) データを暗号化するアルゴリズムとして [AES 128] または [AES 256] のいずれかを選択します。デフォルト値は AES 128 です。
    DH グループ (DH Group) 事前共有キーを交換するときに使用する Diffie-Hellman (DH) グループのアルゴリズムを選択します。DH グループは、アルゴリズムの強度をビット単位で設定します。サポートされている DH グループは 2、5、14 です。DH グループ 14 を使用することをお勧めします。
    PFS セキュリティを強化するために、Perfect Forward Secrecy (PFS) レベルを選択します。サポートされている PFS レベルは 2 と 5 です。デフォルト値は [アクティベーション解除済み (deactivated)] です。
  8. このサイトにセカンダリ VPN Gateway を作成する場合は、[セカンダリ VPN Gateway (Secondary VPN Gateway)] の横にある [追加 (Add)] ボタンをクリックします。ポップアップ ウィンドウで、セカンダリ VPN Gateway の IP アドレスを入力し、[変更の保存 (Save Changes)] をクリックします。

    セカンダリ VPN Gateway はこのサイトに直ちに作成され、このゲートウェイへの VMware SD-WAN VPN トンネルをプロビジョニングします。

    注:

    Cisco ISR Non SD-WAN Destination の場合、デフォルトでは、使用されるローカル認証 ID の値は SD-WAN Gateway インターフェイスのローカル IP アドレスです。

  9. 各 VPN Gateway に冗長トンネルを追加するには、[冗長 VeloCloud クラウド VPN (Redundant VeloCloud Cloud VPN)] チェックボックスをオンにします。
    プライマリ VPN Gateway の暗号化、DH グループ、または PFS に加えられた変更は、冗長 VPN トンネルにも適用されます(設定されている場合)。プライマリ VPN Gateway のトンネル設定を変更した後、変更を保存してから、 [IKE/IPsec テンプレートの表示 (View IKE/IPsec Template)] をクリックして、更新されたトンネル設定を表示します。
  10. [場所の更新 (Update location)] リンクをクリックして、設定済み Non SD-WAN Destination の場所を設定します。緯度と経度の詳細を使用して、ネットワークでの接続先となる最適な SD-WAN Edge または SD-WAN Gateway を決定します。
  11. [サイト サブネット (Site Subnets)] で、[+] ボタンをクリックして、Non SD-WAN Destination のサブネットを追加します。
    注: Cisco ISR の場合、サイト サブネットを設定する必要があります。
  12. SD-WAN Gateway から Cisco ISR VPN Gateway へのトンネルを開始する準備ができたら、[トンネルの有効化 (Enable Tunnel(s))] チェックボックスをオンにします。
  13. [変更の保存 (Save Changes)] をクリックします。
  14. SD-WAN Orchestrator で [設定 (Configure)] > [プロファイル (Profiles)] に移動して、新しく作成した Non SD-WAN Site ネットワーク サービスをプロファイルに割り当てます。ブランチと Gateway 経由の Non SD-WAN Destination 間のトンネルの設定を参照してください。
  15. [設定 (Configure)] > [ネットワーク サービス (Network Services)] に移動し、SD-WAN Orchestrator の [Gateway 経由の Non SD-WAN Destination (Non SD-WAN Destinations via Gateway)] 領域に戻ります。
  16. [Gateway 経由の Non SD-WAN Destination (Non SD-WAN Destinations via Gateway)] 領域で、Non SD-WAN Site の名前までスクロールし、[BGP] 列の [編集 (Edit)] リンクをクリックします。
  17. Cisco ISR 値に基づいて、[ローカル ASN (Local ASN)]、[トンネル タイプ (Tunnel Type)]、[ネイバー IP アドレス (Neighbor IP)]、および [ローカル IP アドレス (Local IP)]([詳細オプション (Advanced Options)] セクションから)など、BGP の必須フィールドを設定します。必要に応じて、Cisco のドキュメントを参照してください。詳細については、Gateway からの BGP over IPsec の設定を参照してください。
    注: SD-WAN Orchestrator によって割り当てられた VTI IP(プライベート IP アドレス)は、シングルホップ BGP のピア シップに使用できます。
  18. [OK] をクリックして変更を保存します。
  19. [Gateway 経由の Non SD-WAN Destination (Non SD-WAN Destinations via Gateway)] 領域で、Non SD-WAN Destination[BFD] 列にある [編集 (Edit)] リンクをクリックして、BFD を設定します。詳細については、Gateway での BFD の設定を参照してください。

次のタスク

[監視 (Monitoring)] タブで Non SD-WAN Site の全体的な状態を確認できます。以下を参照してください。